Анализ защищенности веб-приложений от CyberEd

    CyberEd
    Стоимость курса
    75 600 Р
    Сертификат
    Да
    Начало курса
    В любой момент
    Трудоустройство
    Нет

    Кому подойдет

    • Разработчики веб-приложений
    • Системные администраторы и сетевые инженеры
    • ИБ инженеры
    • IT специалисты

    Чему Вы научитесь

    • Научитесь анализировать безопасность приложений, находить уязвимости и эксплуатировать их
    • На практике изучите возможности Burp Suite для выявления и эксплуатации уязвимостей
    • На практике изучите способы имитации атак
    • Изучите разнообразные инструменты эксплуатации уязвимостей

    Программа обучения

    Занятие 1. Знакомство с базовыми технологиями веба

    • Основные веб-технологии: HTTP, URL, HTML, Javascript, CSS и т.д.
    • Основные теги HTML
    • Программное обеспечение Burp Suite

    Занятие 2. Устройство современных веб-приложений и сбор информации

    • Изучение устройства веб-приложений, методов сбора информации
    • Брутфорс директорий и файлов на веб-сервере

    Занятие 3. Уязвимости OS Command injection

    • Изучение уязвимостей к инъекциям
    • Защита от внедрения на сервер инъекциями

    Занятие 4. Уязвимость SQL Injection I

    • Чтение информации из доступных баз данных
    • Получение информации о сервере, текущем пользователе, настройках, информации из файловой системы
    • Возможность модификации информации в базе данных, записи в файлы, выполнения произвольного кода
    • Изучение техник SQL инъекций

    Занятие 5. Уязвимость SQL Injection II

    • Поиск инъекций
    • Изучение техник SQL инъекций
    • Использование sqlmap для автоматизации
    • Исключение уязвимости SQL injection со стороны разработчиков

    Занятие 6. Аутентификация и менеджмент сессий

    • Знакомство с уязвимостями авторизации и менеджмента сессий
    • Рекомендации по обеспечению безопасности аутентификации
    • Обеспечение правильного хранения паролей
    • Брутфорс(онлайн) веб-сервера, защита от брутфорса, работа с Burp Intruder и Patator

    Занятие 7. Уязвимость Path traversal. Уязвимость File Upload. Атака Local File Read

    • Изучение атаки Path traversal, File Upload и тактик защиты от них
    • Local & Remote File Inclusion, Local File Read
    • Изучение URL схем
    • Безопасность архивов (Archive Upload Issues)
    • Тактики защиты от LRFI
    • Изучение уязвимости Local File Read

    Занятие 8. Уязвимость Broken Access Control

    • Уязвимость обход контроля доступа (Broken Access Control)
    • Разграничение доступа в веб-приложениях, на функциональном уровне и на уровне объектов
    • Оптимизация защиты от уязвимости
    • Изучение работы шаблонов
    • Изучение уязвимостей
    • Автоматизация эксплуатации уязвимостей шаблонов

    Занятие 9. Небезопасное сравнение и приведение типов в PHP. Состояние гонки

    • Атака, использующая небезопасное сравнение
    • Уязвимость приведения типов в PHP
    • Защита от логических багов и защита потоков синхронизацией

    Занятие 10. Небезопасная десериализация

    • Изучение сериализации, небезопасной десериализации для разных языков программирования
    • Методы защиты от уязвимости

    Занятие 11. Уязвимость Server Side Request Forgery

    • Изучение уязвимостей Server Side Request Forgery
    • Защита веб-приложения от обращений к внутренним ресурсам

    Занятие 12. Уязвимость XML External Entity

    • Изучение уязвимости XML eXternal Entity, защита от XXE
    • Изучение атаки PDF Rendering

    Занятие 13. Same Origin Policy. Cross-Site Request Forgery

    • Изучение атак на сервер и клиента
    • Same Origin Policy: что это и зачем нужно
    • Изучение атаки Cross-Site Request Forgery, защита от атаки CSRF

    Занятие 14. Cross-origin resource sharing. Cross-Site Scripting

    • Чтение ответов с определенного origin (CORS)
    • Как в контексте origin приложения выполнять Javascript-код (XSS)
    • Кража cookies, модификация dom-дерева, изменение компонентов веб-страницы

    Занятие 15. Content Security Policy. Security Headers

    • Проверка Content Security Policy
    • Client-Side Template Injection
    • Укрепление безопасности заголовками
    • Описание уязвимостей

    Занятие 16. Финальное занятие

    • Подготовка к собеседованиям
    • Общий подход тестирования веб-приложений
    • Прокачка навыка поиска неожиданных и нестандартных путей
    • Подборка материалов для самостоятельного углубленного изучения безопасности в веб

    Отзывы о школе 2

    5 из 5
    2
    0
    0
    0
    0
    Сортировать:
    Дате публикации
    • Дата публикации
    • Популярности
    • Сначала положительные
    • Сначала отрицательные
    • Семен 15 августа 2023

      Я смело рекомендую данную школу всем, кто хочет начать свой путь в области информационной безопасности и информационных технологий. Лично для меня эта школа была отправной точкой моего профессионального роста. До начала обучения я не имел практических навыков в компьютерной технике, и мои знания ограничивались установкой программного обеспечения на компьютер. Сегодня я работаю специалистом по информационной безопасности в одной из ведущих ИТ-компаний в России. Хочу выразить благодарность преподавателям, таким как Александр, Ильдар, Ярослав, Иван и Павел, которые оказали мне огромную поддержку на пути обучения. Они профессионалы своего дела и всегда готовы помочь и научить различным аспектам информационной безопасности. Они подходят к студентам индивидуально и всегда дает максимально подробные объяснения тем, а также предоставляют материалы для дальнейшего изучения. Благодаря знаниям, полученным на курсах, я смог найти работу уже на 7-ом месяце обучения, несмотря на то, что курс длился 14 месяцев. К тому же, управляющие и кураторы школы всегда готовы помочь студентам в любых вопросах обучения и расписания. Мне очень нравится открытость и поддержка, которую я получил на этой школе. Я рекомендую это место для всех, кто хочет начать свой путь в сфере ИБ и ИТ, но только при условии готовности посвятить не менее 95% своего времени на обучение. Именно своими усилиями можно достичь успеха. Курсы также содержат углубленные темы и задания повышенной сложности, что позволяет опытным специалистам продолжать улучшать свои знания и навыки. Я считаю, что если бы я начал обучение на школе с моим уровнем знаний на данный момент, мне было бы еще больше полезно. Это мнение разделяют и мои товарищи по курсам с опытом в данной области. К тому же, одним из огромных бонусов этой школы является возможность знакомиться с единомышленниками в данной области. Я до сих пор поддерживаю связь и дружбу с моими сокурсниками и преподавателями.

      Был ли отзыв полезен?
    • Аркадий 12 июня 2023

      Я прошел курс "Основы кибербезопасности" на CyberEd. Это был мой первый опыт онлайн-обучения, и я был скептичен насчет эффективности такого формата. Однако, организация учебного процесса и уровень преподавания превзошли мои ожидания. Общение было очень душевным, а все вопросы затрагивались и разъяснялись до конца. Группа была очень разношерстной, среди нас были как новички, так и специалисты с опытом, что сделало обучение еще более интересным и насыщенным. Занятия проходили по вечерам, продолжительностью в три часа, которых, порой, не хватало. Однако, учитывая нашу всяческую заинтересованность, множество занятий продолжались дополнительно. Часть материала была сложной, особенно когда нужно было выполнять домашние задания и учебу день за днем. Все было предельно понятно благодаря детальным мануалам и индивидуальным консультациям. Лично мое мнение - я бы предпочел модуль на Python вместо модуля WeB. Однако, в целом, все было очень интересно. По моему мнению, эти курсы подойдут тем, кто уже имеет базовые знания в области компьютерных наук. Обучение станет ценным для дисциплинированных людей, так как посещение занятий и выполнение домашних заданий обязательно. Возможность записываться на пары есть, но это уже "не лицом к лицу" обучение. Я бы порекомендовал эти курсы всем, кто интересуется данной темой. Я действительно не жалею, что потратил свои деньги и время на это обучение.

      Был ли отзыв полезен?
    Посмотреть все отзывы о CyberEd